北京时间8月31日和9月1日,CertiK安全研究团队发现Sushiswap仿盘的两个项目YUNoFinance(YUNO)与KIMCHI.finance(KIMCHI),其智能合约均存在漏洞。如果利用该漏洞,智能合约拥有者可以无限制地增发项目对应的代币数目,导致项目金融进度通胀并最终崩溃。
无限增发漏洞
刘昌用:BCHA内存池的粉尘交易清理完毕:北京大学经济学博士、知密大学创始人刘昌用在微博表示:28日-29日,包括viabtc、ming-dutch在内的至少6个矿工参与了对BCHA的防御。攻击已经很难成功。29日中午11点,对BCHA的空块攻击停止,662447高度开始正常出块;下午6点,在662462高度,内存池的粉尘交易清理完毕。[2020/11/30 22:32:32]
以Yuno项目中智能合约为例,CertiK安全研究团队对于该无限增发漏洞进行了详细分析,技术细节如下:在Yuno项目中的MasterChef.sol智能合约第1354行中,dev方法可以允许当前拥有devaddr身份的智能合约调用者,将devaddr身份转移给另外一个地址。
刘昌用:预计春节前不会疯涨,应该是以波动和调整为主:北京大学经济学博士、知密大学创始人刘昌用在社交媒体对关于近期行情的几个问题进行了回答。刘昌用表示,本轮比特币下跌是非常正常的调整,连续上涨7周不大幅调整,才是非常奇怪的事。过去的类似调整往往日跌幅20%-30%,这次只有12%,已经是很弱的调整了,说明比特币的波动性显著下降了。2018年的暴跌是2017年牛市之后的牛转熊,是趋势性的下跌。经过2018-2019年熊市之后,已经进入熊转牛的阶段,现在只是牛市启动初期的一次调整。受到年底资金回笼、圣诞节和春节的影响,预计春节前不会疯涨,应该是以波动和调整为主。春节后比特币应该很容易突破前高,迎来真正的牛市。目前这个阶段,投资者可以逢低建仓,切记短炒,容易高买低卖,更容易被甩下车,错失等待3年的牛市。[2020/11/27 22:18:43]
动态 | 公链项目IndexChain登陆新加坡BitSG币星交易所:据官方消息,公链项目IndexChain登陆新加坡BitSG币星交易所。IndexChain是一个独立公链项目,主网已于2019年9月30日上线后,运行稳定且开放了Staking节点锁仓,矿工社群不断增加,在全球多国成立了35家社群运营中心,并成立了多国推广品牌打造机构。其DeFi生态建设不断落地,第三方链上游戏平台已在运行,一季度内还将上线“一点成金”链上拍卖、“嗨够商城”。目前正开发包括数字资产借贷、抵押项目等。IndexChain正在新增部署IPFS协议,3月份即将发布具备分布式存储的矿机。IndexChain及其原生代币DIC(Digital Index Coin)已获得上万名项目追随者。
BitSG币星交易所是由新加坡本地团队组成,基于本地飞速发展的区块链产业和资源配置,BitSG将逐步辐射东南亚和全球国际市场,BitSG作为重要战略跳板,致力于推动项目国际化发展。[2020/2/10]
截图出自:https://etherscan.io/下图中可以看到在智能合约1282行的mint方法是由修饰器onlyOwner进行限制,修饰器onlyOwner决定了只能是智能合约拥有者来执行这个合约。
Acala全球开放贡献者YuZhu:辨别Defi项目需从产品设计等角度去衡量:金色财经现场报道,在金色财经主办的 “金色沙龙第59期上海站:“DeFi-2021发展形势与投资价值分析”的活动圆桌环节中,Acala 全球开放贡献者 YuZhu发言指出:关于Defi投资策略,第一点是产品层面,如产品是否拥有应用场景,是否能提高用户的资产利用率;第二点是在技术层面。技术层面就是说首先团队技术能力要强,不管是在波卡还是其他的生态里,都要看这个团队在这个领域的技术能力和技术经验是否丰富。第三要看社区和市场合作,如社区运营方面等,需要中西方平衡,如果仅仅只聚焦一个市场的用户,那么可能在半年或一年之内就会发现用户增长的瓶颈。所以我觉得要辨别一些项目,是需要从产品设计、技术能力,用户教育以及社区市场方面等角度去衡量。[2021/1/22 16:47:37]
以上三截图均出自:https://etherscan.io/拥有devaddr身份的调用者,当其身份恰好同时为owner身份的时候,可以通过调用MasterChef.sol智能合约1282行的mint方法,来无限制的增发代币。1282行的mint方法会继续调用1130行的mint方法,并继续由1130行mint方法调用1044行的_mint方法,并最终完成代币增发的操作。Kimichi项目智能合约中存在的无限增发漏洞与以上漏洞基本相同,因此在这里不进行重复叙述。如果owner和devaddr的地址如果相同,那么在外部没有对智能合约拥有者限制的情况下,智能合约拥有者拥有权利增发任意数量的代币,这将会将投资者置于风险之中。那么Yuno和Kimichi这两个项目中的devaddr和owner是否为同一人呢?是否有其他外部制约机制可以限制这两个项目的智能合约拥有者呢?下图为Yuno项目MasterChef.sol智能合约中拥有devaddr和owner身份的地址。
截图出自:https://etherscan.io/下图为Kimichi项目中KimchiChef.sol智能合约中拥有devaddr和owner身份的地址。
截图出自:https://etherscan.io/从上两图中可以看到,Yuno项目中拥有devaddr和owner身份的地址为同一个,因此其智能合约拥有者有权利进行无限制的代币增发。而Kimichi项目中拥有devaddr和owner身份不同,但由于devaddr的身份可以进行转移,因此也存在一定的风险。目前措施
为了确保无限增发漏洞不会被触发,对于Yuno和Kimichi两个项目的智能合约拥有者必须由外部进行限制。当前已经实施的限制条件与Sushiswap项目一致,即对任何由智能合约拥有者进行的智能合约操作,均有48小时的延迟。任何来自智能合约拥有者的操作都会被所有投资者观察到,并有48小时进行应对操作。CertiK安全团队建议
当前DeFi以及相关Farming项目异常火爆,由于区块链项目对于项目代码公开性有要求,因此上线新项目门槛极低。如果盲目借鉴其他项目,任意漏洞都可能被引入到项目中。因此在项目上线之前,应该对项目进行严格的安全审计。从投资者角度,当前Farming项目动辄百分之几千的回报率,极易促使投资者在没有对项目本身有足够了解的情况下进行盲目投资。例如SushiSwap,Yuno以及Kimchi三个项目均没有经过严谨的安全验证就快速上线。投资者可能会被巨大的利益回报迷惑,将宝贵资金投入到有极大风险的智能合约中。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。